Forse non tutti sanno che ogni qualvolta un soggetto pubblico o privato intraprenda un nuovo progetto che implichi trattamento dei dati personali è necessario effettuare un’analisi preliminare per valutarne i rischi e, se questi sono particolarmente elevati, i probabili impatti sui diritti e le libertà fondamentali degli interessati: è il principio di data protection by design, uno dei cardini fondanti tutto l’impianto normativo del GDPR, il Regolamento Europeo per la Protezione dei Dati Personali (GDPR) n. 679/2016.
Nel caso in cui, all’esito di questa analisi preliminare, che deve comprendere tutte le misure tecniche ed organizzative poste in essere dal Titolare per minimizzare i rischi (non azzerare, perché se il trattamento avviene online, il rischio zero è un’aspirazione, ma mai una realtà, in quanto in informatica, come nella vita, non esiste) porti ad un rischio residuo ancora elevato, è necessario chiedere al Garante per la Protezione dei Dati Personali un parere per poter effettuare il trattamento.
Il Garante, chiamato a pronunciarsi, dovrà effettuare un giudizio di bilanciamento tra i vari interessi in gioco (il diritto del titolare ad effettuare il trattamento ed i diritti e le libertà fondamentali degli interessati) ed una attenta analisi delle caratteristiche del trattamento, per deliberare se questo può essere svolto o meno.
Nell’ambito di questi suoi poteri consultivi e direttivi, il Garante si è recentemente espresso sulla piattaforma unica nazionale per la gestione del CUDE (Contrassegno Unificato Disabili Europeo), ovvero il software che associa i numeri di targa dei veicoli che trasportano persone con disabilità ed i permessi rilasciati nominalmente.
Il parere espresso sulla piattaforma è stato positivo: la piattaforma, secondo l’Autorità, è conforme ai dettami del GDPR per quanto riguarda le specifiche sui dati trattati, sui soggetti abilitati ed autorizzati ad accedervi, sul personale autorizzato dal Comune e sui controlli previsti dal Codice della strada.
I principi su cui si è basato il Garante e su cui dovrebbero basarsi tutte le soluzioni informatiche deputate al trattamento dei dati, sono quelli stabiliti dal Regolamento:
- minimizzazione dei dati, e pertanto la piattaforma non prevederà la raccolta di dati riferibili al beneficiario del contrassegno e neppure il codice alfanumerico identificativo del CUDE;
- ruolo assunto dai vari soggetti coinvolti nel trattamento dei dati personali, con profili di autorizzazione diversi a seconda del ruolo ricoperto (una soluzione in cui “tutti vedono tutto” non è e non può ritenersi compliant);
- informativa completa ed esaustiva da fornirsi agli interessati, con particolare riferimento ai tempi di conservazione dei dati (il principio per cui i dati personali si conservano in secula seculorum oltre ad essere obsoleto dal punto di vista del business, è in aperto contrasto con il GDPR: è necessario prevedere una precisa retention policy);
- ed infine le procedure di autenticazione degli utenti, che prevedono che gli accessi e le operazioni vengano tracciati per avere contezza dei passaggi e poter intervenire tempestivamente in caso di problemi o violazioni di dati.
Scrivi un commento
Accedi per poter inserire un commento